kuritsutianu/AFDT

GitHub: kuritsutianu/AFDT

AFDT 是一款 Windows 取证分析工具,用于检测磁盘镜像中是否存在日志篡改、时间戳伪造、反取证软件等反取证行为,并提供已删除文件的恢复功能。

Stars: 5 | Forks: 1

# AFDT - 取证分析工具 AFDT (Anti Forensic Detection Tool) 是一款取证分析工具,旨在方便对 Windows 操作系统磁盘镜像进行调查。它允许您在假设取证镜像已挂载的前提下,执行各种检查和数据恢复操作。 ## 功能 该工具执行以下分析功能: 1. **检查 Windows 事件日志服务**:检查事件日志服务是否已被篡改。 2. **识别 Windows EVTX 中的日志删除行为**:在事件日志文件中寻找删除日志的迹象。 3. **按日期范围检查 EVTX 中的事件数量**:允许在特定的日期范围内过滤并计算 EVTX 日志中的事件。 4. **识别 MFT 中文件或文件夹的 Timestomping**:检测 Master File Table (MFT) 中可能存在的时间戳篡改(timestomping)。 5. **检查回收站**:在用户的回收站中查找已删除的项目。 6. **检查是否存在用于反取证的应用程序**:尝试通过比较数字签名来识别反取证工具。 7. **检查是否存在 Volumen Shadow Copies(卷影副本)**:验证驱动器中是否存在卷影副本(注意:此功能在虚拟驱动器上可能存在限制)。 此外,它还具有用于恢复已删除文件的 **Carving** 功能: 8. **彻底恢复已删除的文件**:允许从磁盘镜像中恢复特定格式(JPG、PNG、EXE、PS1、TXT、PF、BAT)的文件。 ## 要求 * **已挂载的取证镜像**:该工具假设 Windows 取证镜像已挂载。 * **管理员权限**:应用程序必须以管理员权限运行,才能访问系统的某些区域并执行取证分析。 * **外部工具**:该工具使用位于 `tools/` 文件夹中的 `MFTECmd.exe`(用于 MFT 分析)。 ## 应用程序使用说明 1. **运行应用程序**: * 双击可执行文件(`AFDT.exe`)。**请确保以管理员身份运行。** 2. **主界面**: * **日期字段**:以 `YYYY-MM-DD HH:MM:SS` 格式输入用于分析的“Fecha Inicio”(开始日期)和“Fecha Fin”(结束日期)。 * **“Seleccionar letra”(选择盘符)字段**:输入已挂载取证镜像的驱动器号。 * **“Iniciar Análisis”(开始分析)按钮**:按下此按钮开始对挂载的镜像进行取证分析。 * **“Carving”按钮**:按下此按钮开始恢复已删除的文件(JPG、PNG、EXE、PS1、TXT、PF、BAT)。 * **“Detener”(停止)按钮**:在分析或 Carving 过程中,您可以按下此按钮停止执行。在此之前生成的临时日志将被保存。 * **“Acerca de”(关于)按钮**:显示一个小窗口,包含有关软件作者及其版本的信息。 3. **日志和恢复的文件**: * 所有分析结果将显示在界面的文本框中。 * 在执行期间会生成一个临时日志文件(`afdt_temp.log`),并在分析完成或停止时将其复制到最终日志文件(`afdt_YYYY-MM-DDTHH_MM_SS.log`)。这些文件位于相对于可执行文件的 `logs/` 文件夹中。 * 通过 Carving 功能恢复的文件将保存在可执行文件同目录下的子文件夹(`jpg/`、`png/`、`exe/`、`ps1/`、`txt/`、`pf/`、`bat/`)中。 ## 作者 本软件由 Cristian Marcial Olivera Hidalgo 创建。 最终版本 1.0.1 希望 AFDT 能对您的取证分析工作有所帮助! ## 致谢 特别感谢 Bani Amundaray Carmona 在我开发此工具的硕士论文(TFM)期间给予的指导。
标签:事件日志分析, 反取证检测, 多人体追踪, 子域名变形, 数字取证, 数据恢复, 端点可见性, 自动化脚本